[보안뉴스][단독] 해커 유인 ‘허니팟’이 독 됐나? 연결된 SK쉴더스 직원 이메일 털려 KISA 신고

내용 요약

블랙쉬란택(Blackshrantac) 해커 집단이 SK쉴더스(SK Shield)의 허니팟 관리자 계정을 탈취해 직원 이메일과 내부 시스템 정보를 유출했고, SK숼더스와 이큐스트(IQrest) 팀이 다크웹 모니터링을 통해 실제 데이터가 거래되는 것을 확인해 KISA에 신고했습니다. 이 사건은 허니팟 관리자의 보안 취약점과 다크웹 감시가 조직 내 데이터 보호에 얼마나 중요한지를 보여주는 사례입니다.

핵심 포인트

• 허니팟 관리자 계정 탈취: 내부 접근 권한을 가진 허니팟 관리자의 자격 증명이 외부로 유출되면서 이메일 및 민감 정보가 도난되었습니다.
• 다크웹 모니터링 효과: SK숼더스와 이큐스트가 다크웹을 주기적으로 감시해 실제 유출된 데이터를 확인하고 신속히 대응했습니다.
• 공식 신고 체계 활용: 유출 사실을 KISA에 보고함으로써 법적·조치적 대응이 가능해졌으며, 사건 파악과 재발 방지에 기여했습니다.

기술 세부 내용

1️⃣ HoneyPot & 관리자 인증 탈취

단계	설명
① 허니팟 설계	허니팟은 실제 시스템과 거의 동일한 구조를 복제해 공격자를 유인하는 “위장 서버”입니다. 관리자는 공격을 감지하고 분석하기 위해 관리자 권한이 부여됩니다.
② 인증 정보 저장	관리자 계정은 종종 ‘root’ 혹은 ‘admin’과 같은 고권한 계정으로 설정됩니다. 암호가 복잡하지 않거나, 패스워드 재사용이 있으면 외부 해커가 접근하기 쉽습니다.
③ 공격 시도	블랙쉬란택은 사회공학(Phishing), 취약점 스캔, 무차별 로그인(Brute‑Force) 등을 통해 허니팟 관리자 계정의 비밀번호를 획득했습니다.
④ 내부 네트워크 탐색	관리자 권한을 얻은 후, 공격자는 허니팟 내부에서 다른 시스템(이메일, DB, 파일 서버 등)으로 이동했습니다. 이때 “경로 확장(Path‑Traversal)” 공격을 활용해 내부 네트워크를 파헤칩니다.
⑤ 데이터 수집 & 전송	유출된 데이터(직원 이메일, 내부 문서, 인증서 등)를 암호화된 채널(HTTPS, SFTP)을 통해 외부로 전송했습니다. 암호화된 채널을 사용함으로써 트래픽 분석이 어려워졌습니다.
⑥ 탐지 및 차단	허니팟의 로그를 모니터링하던 보안 팀은 비정상적 트래픽(지속적인 로그인 시도, 대량 파일 전송)을 감지해 방화벽 규칙을 적용하고 해당 IP를 차단했습니다.
⑦ 사고 대응	관리자 계정은 즉시 비활성화하고, 암호를 재설정했습니다. 보안 팀은 포렌식 분석을 통해 유출 범위와 영향을 파악했습니다.

핵심 팁
- 허니팟 관리자 계정은 “최소 권한 원칙(Minimum Privilege Principle)”에 따라 제한된 권한만 부여하고, 2FA(2-Factor Authentication) 를 필수화하세요.
- 관리자 비밀번호는 매 90일마다 변경하고, 복잡성 규칙(대문자, 소문자, 숫자, 특수문자)을 적용하세요.

---

2️⃣ 다크웹 모니터링 및 데이터 추적

단계	설명
① 모니터링 툴 선택	SK숼더스와 이큐스트는 “Dark Web Search Engine”(예: Ahmia, TOR 검색 엔진)과 “Threat Intelligence Platform”(예: Recorded Future, Anomali) 을 활용해 실시간 검색을 수행했습니다.
② 키워드 설정	“SK Shield”, “employee email”, “internal database”, “credential dump” 같은 키워드를 입력해 유출 데이터가 게시되는 포럼을 찾습니다.
③ 데이터 수집	포럼 게시글, 파일 공유 링크, 메신저 스레드 등에서 유출 파일을 다운로드하거나 스크래핑합니다. 이 과정에서 스크립트 자동화(BeautifulSoup, Selenium)를 사용해 반복적 검색을 수행합니다.
④ 파일 분석	다운로드된 파일은 Hash(sha256) 를 계산해 이미 알려진 악성 파일과 비교하고, YARA 규칙으로 내부 메타데이터(이름, 발행일, 파일 구조)를 검사합니다.
⑤ 증거 수집	유출된 파일과 포럼 대화 기록, IP 로그, 게시글 URL 등은 디지털 포렌식 형식(FTK, EnCase)으로 저장해 법적 증거로 활용합니다.
⑥ 위험 평가	수집된 데이터를 기반으로 피해 범위(인원 수, 데이터 종류, 외부 유출량)를 정량화하고, 대응 전략을 수립합니다.
⑦ 보고	KISA, 경찰(국가정보·사이버안전국), 내부 보안 팀에 보고서를 제출해 협력·추가 조사를 진행합니다.
⑧ 모니터링 지속	유출 경로가 계속 존재할 가능성이 있으므로 정기적으로 포럼을 재검색하고, 데이터 유출 여부를 모니터링합니다.

핵심 팁
- 다크웹 모니터링은 “Threat Hunting”의 일환으로, SIEM(Security Information and Event Management)과 연동해 실시간 알림을 받을 수 있도록 설정하세요.
- Automated Playbooks(예: SOAR) 를 활용해 유출 파일을 자동으로 수집·분석·보고하도록 구성하면 인력 부담을 크게 줄일 수 있습니다.

---

3️⃣ KISA 신고 및 법적 대응 프로세스

단계	설명
① 사전 내부 검토	유출 사실을 확인한 뒤, 조직 내부의 보안 정책에 따라 사이버보안 incident response team 이 사건을 평가합니다.
② KISA 신고 준비	KISA(한국인터넷진흥원)의 “사이버보안 사고 신고” 양식에 필요한 정보를 정리합니다: 사고 유형, 발생 시각, 피해 범위, 취약점, 대응 조치 등.
③ KISA 신고	신고는 전자신고 시스템(e-Report)이나 전화(1588‑7799)를 통해 제출합니다. 신고 후 KISA는 사건을 접수하고 조사를 시작합니다.
④ KISA 조사	KISA는 사이버보안 사건 추적을 위해 로그 분석, 데이터 검증, 법적 증거 수집을 수행합니다. 필요 시 국가정보·사이버안전국과 협업합니다.
⑤ 법적 조치	유출이 개인정보(개인정보보호법)나 국가 보안(정보통신망법) 위반으로 판단되면, 검찰청에 기소를 요청하고, 형사 고소를 진행합니다.
⑥ 피해자 통보	개인정보 유출 시 피해자 통보를 시행하며, 해당 직원에게 이메일, SMS 등으로 피해 사실과 보상 절차를 안내합니다.
⑦ 재발 방지	사고 원인을 분석해 보안 아키텍처 개선(Zero Trust, MFA, 내부 통제 강화), 정책 및 교육을 보강합니다.
⑧ 사후 관리	KISA 및 법원에서 요구하는 사후 보고(보완조치, 재조치 내역)를 제출하고, 사고 추적 기록을 보관합니다.

핵심 팁
- KISA 신고는 24시간 이내에 접수하는 것이 좋습니다. 지연 시 법적 책임이 증가할 수 있습니다.
- 사고 대응 전담 팀을 조직하고, Incident Playbook을 미리 마련해 “가이드라인”을 따라 신속하게 대응하세요.

---

️ 보안 시사점 & 대응 방안

1. 허니팟 관리자 계정 보호 – 최소 권한 원칙, 2FA, 정기 비밀번호 변경을 필수화하세요.
2. 다크웹 모니터링 자동화 – SOAR 플랫폼과 연동해 자동 수집·분석·보고를 구축하세요.
3. 신속한 KISA 신고 체계 – 사고 대응 매뉴얼에 신고 절차를 명시하고, 내부 교육을 주기적으로 진행하세요.

이러한 절차와 방식을 통해 허니팟 보안과 내부 데이터 보호를 한층 강화하고, 외부 침입에 대한 대비를 체계적으로 구축할 수 있습니다.

 

출처: http://www.boannews.com/media/view.asp?idx=139820&kind=&sub_kind=